Идеи пользователя

Рейтинг: 8.2734  
На голосовании
Предложил Пользователь 95007 09.07.2014 11:40:55

Настройка бэкапов для amazon s3

Ситуация следующая.
Когда в админке заводится новое облачное хранилище (с использованием амазона) , битрикс уже пытается  создать bucket на сервере амазона и ругается, если имя, под которым он пытается создать уже там есть.

Чем это плохо.
Нельзя использовать для бэкапов ключи от пользователей с ограниченными правами, точнее можно, но "через крышу": создать хранилище с одними ключами (от пользователя с правами на все), а потом поменять их на другие, от пользователя с правами только на нужную директорию  (все (или я думаю у 90% людей) бэкапы делаются сейчас вообще под "рутовой" учеткой, которая имеет доступ в том числе и к билинговой информации на амазоне).

И как следствие нельзя выделить раздел на сервере исключительно для конкретного пользователя  (которого нужно заводить на сервере амазона, но про это нигде кроме как на амазоне даже и не упомянули в  инструкциях и многочисленных постах), и как следствие выше описанного, человек получивший через адмику вашего сайта ключи от сервера амазона, подключившись к нему через клиента, используя эти ключи, получает доступ ко всем бэкапам, которые хранятся на сервере.
И если там бэкапится только один сайт, то это полбеды, но как правило люди с одними и теме же ключами быкапят все свои сайты в одно место, в итоге доступ ко всем бэкапам всех сайтов, и да, по умолчанию бэкапы шифруются только для облака битрикса, под остальные хранилища нужно руками проставлять галочку "шифровать". Думаю не трудно представить какой процент эту галочку ставит и сколько не ставят.

В итоге, что бы я добавил:
1. Включение шифрования по умолчанию для всех типов хранилищ.
2. Сделать возможным, что бы битрикс не пытался создать bucket на сервере амазона сам.
3. Сделать возможным в ручную прописывать путь, куда складывать на сервере бэкапы (что бы не обязательно было заводить новый bucket под каждый сайт), что даст возможность более гибко настраивать структуру хранения данных на самом сервере, политику безопасного доступа и избавит от подмены ключей на этапе заведения хранилищ в адмике битрикса.
Рейтинг: 1.4158  
Рейтинг: 11.8469  
На голосовании
Предложил Пользователь 154711 30.04.2014 03:10:15

Каптча

Реализуйте пожалуйста нормальную защиту форм. Нынешняя капча портит коверсию достаточно серьезно, наблюдаю вебвизор, и бедных людей, которые пытаются отправить заявку или заказать обратный звонок. При упрощении каптчи, хрумер и алсаб пробивают ее, даже не почувствовав ,при усложнении - люди не могут отправить сообщение из формы.
Руковожу сайтами крупной организации с хороши трафиком. Нынешняя "защита" от спама не защищает сайт, а приносит сотни тысяч убытков ежемесячно.
Рейтинг: 11.1289  
На голосовании
Предложил Пользователь 37620 28.01.2014 11:40:02

Контроль целостности - "существуют другие изменения" - возможность их увидеть

Волшебная фраза отмазка.
Когда контроль целостности упирается в определённый лимит найденных изменений, то сканирование просто прекращается (специально уточнял это в ТП, тикет #451224). Т.е. злоумышленник может всегда замаскировать свои изменения горой псевдо-легитимных правок (поправив даты ВСЕМ файлам на сервере).


Нужна возможность:
  • Увеличить лимит в настройках модуля
  • Вручную продолжить сканирование
Рейтинг: 19.9331  
На голосовании
Предложил Пользователь 25773 23.01.2014 09:53:05

Банить по IP за многократные ошибки входа

Модуль проактивная защита умеет почти все, кроме самого главного:

- Есть правила блокировки по IP
- Есть журнал событий
- Есть непонятный флажок "Добавить IP-адрес атакующего в стоп-лист"

Как работает этот флажок? Анализирует SQL запрос? Разъясните в документации.

У меня банальная проблема:

в журнале событий много записей, что кто-то пытается зайти под пользователем admin, но не может. (Потому что я предусмотрительный, и пользователя admin на сайте нет.)

Злые боты совершают десятки тысяч обращений к серверу и замедляют его работу. Страдают другие сайты.

Хочу опции: блокировать на 60 минут за 40 ошибок входа с одного IP за 20 минут. И чтобы письмо администратору отправлялось при блокировке.

На редакции Стандарт нет Веб-аналитики. Следует  научить Проактивную защиту проверять журнал событий.

P.S.

про опцию "Количество попыток ввода пароля до показа CAPTCHA" знаю. Но она почему-то не работает, если пользователя, под которым пытаются авторизоваться, нет.
Рейтинг: -3.8981  
На голосовании
Предложил Пользователь 99561 20.01.2014 14:46:34

Массовое вкл\откл капчи в веб-формах

Создать API включения\отключения капчи в веб-формах,
Для того чтобы можно было автоматизированно вкл\выключать капчу, а не перекликивать все формы по одной
Рейтинг: 13.3779  
На голосовании
Предложил Пользователь 37620 06.12.2013 20:20:31

Возможность скачать дамп отчёта контроля целостности в ЛЮБОЕ время

Сейчас когда вы создаёте отчёт, то получаете ссылку вида http://SITE.RU/bitrix/admin/security_file_verifier.php?fcdld=Y&ts=1386346706&sessid=5de100c654bc793befeaff70750f5eb8, но эта ссылка работает только пока длится ваша сессия во время которой вы создали дамп. Стоит перелогиниться (или зайти из другого браузера и всё, файл больше не скачать!)
А иногда его хочется скачать и через день и через неделю, ведь он всё равно хранится.

Нужен инструмент не только делающий контроль целостности, но и позволяющий скачать эти дампы (по пароль контроля целостности) в любое время после.


Рейтинг: 6.2942  
На голосовании
Предложил Пользователь 36078 05.12.2013 11:14:52

Captcha при 403 (Контроль активности, стоп-лист)

Если IP адрес попал в стоп лист, то давать возможность вводить код Captcha, для снятия блокировки.
Рейтинг: 10.9383  
Внедрено
Предложил Пользователь 4146 29.10.2013 17:41:36

Google Authenticator вместо Bitrix OTP

Добавьте, пожалуйста, возможность 2х этапной авторизации через Google Authenticator, а не через отдельное приложение Bitrix OTP. Это очень удобно! И не будет надобности ставить второе приложение.
Рейтинг: 0  
Ответил Красичков Андрей 18.10.2014 16:37:57
В модуле security 14.5.6 вышла поддержка приложений типа Google Authenticator (Authenticator для Windows Phone, FreeOTP, DuoMobile и т.д.). Помимо прочего, так же добавилась и поддержка TOTP OATH-алгоритма (Time-based One Time Password Algorithm, RFC 6238)
Для подключения, существует компонент security.user.otp.init
Административный интерфейс, увы, пока не приспособлен для подключения этих приложений, но это будет исправлено в ближайших обновлениях.
Рейтинг: 47.2267  
На голосовании
Предложил Пользователь 37620 28.10.2013 10:30:02

Ограничение доступа по IP для группы пользователей

Сейчас ограничение по IP возможно задать только для АДМИНИСТРАТИВНОГО раздела /bitrix/admin/, однако если в публичной части есть форма авторизации, то злоумышленник может получить доступ там.
+ такое ограничение не удобно тем, что иногда нужно дать доступ для сотрудников с минимальным уровнем доступа (например контент-менеджеры, корреспонденты) из разных точек без статического IP, в том время как сотрудникам с полными правами (администраторы, разработчики) необходимо ограничить доступ только из корпоративной сети.

Проблему решила бы возможность добавить ограничение доступа по IP для каждой группы пользователей и действующее не только в админке, но и в публичке.